1、0.引言隨著信息化的推進(jìn)，信息系統(tǒng)的安全問(wèn)題成為了世界各國(guó)都十分關(guān)心的問(wèn)題。我國(guó)則推出了 GB/T 22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（以下簡(jiǎn)稱基本要求）來(lái)對(duì)信息系統(tǒng)進(jìn)行保護(hù)。基本要求對(duì)三級(jí)以上信息系統(tǒng)提出了“剩余信息保護(hù)”的要求。中國(guó)軟件評(píng)測(cè)中心作為公安部信息安全等級(jí)保護(hù)測(cè)評(píng)推薦機(jī)構(gòu)，在信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的過(guò)程中發(fā)現(xiàn)很多被測(cè)系統(tǒng)在“剩余信息保護(hù)”方面做的不是十分到位。接下來(lái)，本文會(huì)較詳細(xì)地介紹剩余信息保護(hù)的定義、技術(shù)實(shí)現(xiàn)以及檢測(cè)方法。1 .剩余信息保護(hù)的定義在介紹基本要求中對(duì)于剩余信息保護(hù)要求項(xiàng)的定義前，先要簡(jiǎn)單介紹一下一些背景知識(shí)。1.1 基本要求對(duì)于要求項(xiàng)的

2、劃分從整體上，基本要求為技術(shù)要求和管理要求兩大類。其中，技術(shù)要求按其保護(hù)的側(cè)重點(diǎn)的不同被劃分為以下三類：1） 業(yè)務(wù)信息安全類（S 類）：主要關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄露、破壞和免受未授權(quán)的修改。2） 系統(tǒng)服務(wù)安全類（A 類）：關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的原型，避免因?qū)ο到y(tǒng)未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。3） 通用安全保護(hù)類（G 類）：既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性?；疽笾械乃械囊箜?xiàng)都被分為上述三類，剩余信息保護(hù)要求項(xiàng)是在三級(jí)以上系統(tǒng)中才出現(xiàn)的，是屬于 S類的，一般被分為 S3 （適用于三級(jí)系統(tǒng)）或者是 S4 （適用于 四級(jí)系統(tǒng)）。此外，技

3、術(shù)要求還被劃分為物理層面安全要求、網(wǎng)絡(luò)層面安全要求、主機(jī)層面安全要求（簡(jiǎn)稱“主機(jī)安全”）、應(yīng)用層面安全要求（簡(jiǎn)稱“應(yīng)用安全”）以及數(shù)據(jù)和備份恢復(fù)層面安全要求。剩余信息保護(hù)要求項(xiàng)是出現(xiàn)在主機(jī)安全和應(yīng)用安全方面的。1.2 基本要求對(duì)于剩余信息保護(hù)安全項(xiàng)的定義在主機(jī)安全方面，剩余信息保護(hù)安全項(xiàng)（ S3或S4）的要求包括：1） 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；2） 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除。在應(yīng)用安全方面，剩余信息保護(hù)安全項(xiàng)（

4、 S3或S4）的要求包括：1） 應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；2） 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。2 .應(yīng)用系統(tǒng)剩余信息保護(hù)的技術(shù)實(shí)現(xiàn)從基本要求對(duì)于剩余信息保護(hù)要求項(xiàng)的描述來(lái)看，該要求項(xiàng)要保護(hù)的客體（也即對(duì)象） “ 剩余信息”主要是內(nèi)存或者硬盤的存儲(chǔ)空間，要保護(hù)的時(shí)間是被釋放或重新分配給其他用戶后。2.1 內(nèi)存中的剩余信息保護(hù)內(nèi)存中剩余信息保護(hù)的重點(diǎn)是：在釋放內(nèi)存前，將內(nèi)存中存儲(chǔ)的信息刪除，也即將內(nèi)存清空或者寫入隨機(jī)的無(wú)關(guān)信息。下面以應(yīng)用程序?qū)τ?/p>

5、戶的身份鑒別流程（參見(jiàn)圖1 ） 為例，介紹一下如何對(duì)內(nèi)存中的剩余信息進(jìn)行保護(hù)。假設(shè)用戶甲在登錄應(yīng)用程序A 的時(shí)候，輸入了用戶名和密碼。一般情況下，應(yīng)用程序A 會(huì)先將用戶輸入的用戶名和密碼存儲(chǔ)在兩個(gè)字符串類型（也可能是數(shù)組等）變量中。通常情況下，為了防止攻擊者采用自動(dòng)腳本對(duì)應(yīng)用程序進(jìn)行攻擊，應(yīng)用系統(tǒng)會(huì)要求用戶輸入校驗(yàn)碼，并優(yōu)先對(duì)校驗(yàn)碼進(jìn)行驗(yàn)證。如果用戶輸入的校驗(yàn)碼錯(cuò)誤，應(yīng)用系統(tǒng)應(yīng)要求用戶重新輸入校驗(yàn)碼。在校驗(yàn)碼驗(yàn)證通過(guò)后，應(yīng)用系統(tǒng)應(yīng)從數(shù)據(jù)庫(kù)中讀取用戶身份信息表，并在其中查找是否存在用戶輸入的用戶名。如果未查找到，則應(yīng)用系統(tǒng)應(yīng)返回“用戶名不存在”（或者較模糊地返回“用戶名不存在或者密碼錯(cuò)誤”）。如

6、果在用戶身份信息表中找到用戶名，應(yīng)用程序一般應(yīng)采用一種哈希（ hash） 算法 （通常是MD5算法） 對(duì)用戶輸入的密碼進(jìn)行運(yùn)算得到其哈希值，并與數(shù)據(jù)庫(kù)用戶身份信息表中存儲(chǔ)的密碼哈希值進(jìn)行比較。這里需要說(shuō)明的是， 數(shù)據(jù)庫(kù)中一般不明文存儲(chǔ)用戶的密碼，而是存儲(chǔ)密碼曬戶窿jij肥平他小俎國(guó)同率戰(zhàn)的，性專乳的MD5值。也人用尸片|7!irKJr-nr, 號(hào)用戶曲 用戶前而W用產(chǎn)需.；坊同用戶挈H.后自我小班過(guò)必勃JK度卜虐囹1應(yīng)用程序?qū)ζ溆脩舻纳矸蓁b別流程圖小圖1應(yīng)用程序?qū)ζ溆脩舻纳矸蓁b別流程圖通常情況下，應(yīng)用系統(tǒng)在使用完內(nèi)存中信息后，是不會(huì)對(duì)其使用過(guò)的內(nèi)存進(jìn)行清理的。這些存儲(chǔ)著信息的內(nèi)存在程序的身份認(rèn)

7、證函數(shù)（或者方法）退出后，仍然存儲(chǔ)在內(nèi)存中，如果攻擊者對(duì)內(nèi)存進(jìn)行掃描就會(huì)得到存儲(chǔ)在其中的信息。為了達(dá)到對(duì)剩余信息進(jìn)行保護(hù)的目的,需要身份認(rèn)證函數(shù)在使用完用戶名和密碼信息后，對(duì)曾經(jīng)存儲(chǔ)過(guò)這些信息的內(nèi)存空間進(jìn)行重新的寫入操作，將無(wú)關(guān)（或者垃圾）信息寫入該內(nèi)存空間，也可以對(duì)該內(nèi)存空間進(jìn)行清零操作。下面以C 語(yǔ)言為例，對(duì)存儲(chǔ)過(guò)用戶名和密碼的數(shù)組進(jìn)行清零操作。void IsCorrectUser ()char* pcUserName = NULL;char* pcPassword = NULL;pcUserName = (char*) malloc(128 * sizeof(char);pcPasswo

8、rd = (char*) malloc(128 * sizeof(char);GetUserNameAndPassword(pcUserName, pcPassword);CheckUserNameAndPassword(pcUserName, pcPassword);int i = 0;for (i = 0; i < 128; i+)*( pcUserName + i) = 0;*( pcPassword + i) = 0;free(pcUserName);pcUserName = NULL;free(pcPassword);pcPassword = NULL;return;函數(shù) Is

9、CorrectUser 采用 malloc 函數(shù)為存儲(chǔ)用戶名和密碼分別動(dòng)態(tài)申請(qǐng)了128 字節(jié)的內(nèi)存。 在使用后，對(duì)內(nèi)存進(jìn)行了清空和釋放的操作，這樣就能夠保證對(duì)剩余信息的保護(hù)。此外，需要說(shuō)明的是在GetUserNameAndPassword 和 CheckUserNameAndPassword 函數(shù)中也要同樣對(duì)存儲(chǔ)過(guò)用戶名和密碼的內(nèi)存進(jìn)行使用后清空操作，才能夠完成對(duì)剩余信息的保護(hù)工作。2.2 硬盤中的剩余信息保護(hù)硬盤中剩余信息保護(hù)的重點(diǎn)是：在刪除文件前，將對(duì)文件中存儲(chǔ)的信息進(jìn)行刪除，也即將文件的存儲(chǔ)空間清空或者寫入隨機(jī)的無(wú)關(guān)信息。卜面以應(yīng)用程序?qū)σ粋€(gè)文件的刪除為例,介紹一下如何對(duì)硬盤中的剩余信息

10、進(jìn)行保護(hù)。通常應(yīng)用程序在刪除文件的時(shí)候，僅僅是調(diào)用刪除函數(shù)，判斷刪除函數(shù)的返回值是否正常。void DeleteFile (char* pcFilePath)long lCurrentPosition = 0;FILE* fpFilePointer = NULL;int iCounter = 0;char cTempChar = '0'fpFilePointer = fopen(pcFilePath, "r+");if(NULL = fpFilePointer)printf("nfail to open file %s", pcFileP

11、ath) ;while ( 0 = feof(fpFilePointer) )lCurrentPosition = ftell(fpFilePointer);cTempChar = fgetc(fpFilePointer);if (EOF = cTempChar)break;GetRandomCharacter(&cTempChar);fseek(fpFilePointer, lCurrentPosition, SEEK_SET);fputc(cTempChar, fpFilePointer);lCurrentPosition = lCurrentPosition + 1;fseek(

12、fpFilePointer, lCurrentPosition, SEEK_SET);fclose(fpFilePointer);fpFilePointer = NULL;if ( 0 != remove(pcFilePath) )刪除文件失敗，打印錯(cuò)誤信息printf("nfail to remove file %s", pcFilePath) ;return;在函數(shù) DeleteFile 中，函數(shù)每從文件中讀出一個(gè)字符就調(diào)用GetRandomCharacter 函數(shù)對(duì)該字符進(jìn)行了操作，并將進(jìn)行操作后的字符寫回文件中。這樣就能夠保證要被刪除的文件中的內(nèi)容也經(jīng)過(guò)處理了。而處

13、理的方法可以是將文件中的內(nèi)容都設(shè)置成零，也可以是對(duì)原有信息進(jìn)行操作。本文也以C 語(yǔ)言為例，給出了如下兩種實(shí)現(xiàn)方式。void GetRandomCharacter (char* pcChar)int iOperator = 0;int iOperand = 0;randomize();iOperator = random (4);iOperand = random (128);switch(iOperator)case 1:*pcChar = *pcChar + iOperand;break;case 2:*pcChar = *pcChar - iOperand;break;case 3:*pc

14、Char = *pcChar * iOperand;break;default:*pcChar = iOperand;break;return;3 .應(yīng)用系統(tǒng)剩余信息保護(hù)的檢測(cè)方法簡(jiǎn)介在應(yīng)用系統(tǒng)剩余信息保護(hù)的檢測(cè)方面，主要從訪談、檢查和測(cè)試三部分分別描述。1) 訪談詢問(wèn)應(yīng)用系統(tǒng)開發(fā)人員，是否對(duì)應(yīng)用系統(tǒng)中的剩余信息進(jìn)行了保護(hù)。如果開發(fā)人員連剩余信息保護(hù)的概念都不清楚，那么也就不可能對(duì)剩余信息進(jìn)行保護(hù)。2) 檢查查看源代碼，看在內(nèi)存釋放或者刪除文件前，應(yīng)用系統(tǒng)是否進(jìn)行了處理。檢查應(yīng)用系 統(tǒng)操作手冊(cè)中是否有相關(guān)的描述。3) 測(cè)試為了確認(rèn)內(nèi)存中是否有剩余信息，可以在采用內(nèi)存掃描軟件(或者內(nèi)存監(jiān)視軟件)進(jìn)行掃描。 對(duì)于存儲(chǔ)在磁盤中的文件，可以嘗試在應(yīng)用系統(tǒng)刪除文件后，用恢復(fù)軟件恢復(fù)文件，并對(duì)比恢復(fù)文件和原文件。4) 總結(jié)和討論本文主要針對(duì)等保應(yīng)用安全對(duì)剩余信息保護(hù)的技術(shù)實(shí)現(xiàn)和檢測(cè)做了介紹。對(duì)于通用操作系統(tǒng)來(lái)說(shuō)，考慮到系統(tǒng)的運(yùn)行效率，沒(méi)有在系統(tǒng)內(nèi)核層面默認(rèn)實(shí)現(xiàn)剩余信息保護(hù)功能，只能通過(guò)第三方工具來(lái)實(shí)現(xiàn)(